Azure Red Hat OpenShift 4 kümesi için Microsoft Entra kimlik doğrulamasını yapılandırma (Portal)

  • Makale

CLI'yı yerel olarak yükleyip kullanmayı seçerseniz, bu öğretici için Azure CLI 2.6.0 veya sonraki bir sürümü kullanmanız gerekir. Sürümü bulmak için az --version komutunu çalıştırın. Yüklemeniz veya yükseltmeniz gerekirse, bkz. Azure CLI yükleme.

Başlamadan önce

Kümenin OAuth geri çağırma URL'sini oluşturun ve not edin. aro-rg değerini kaynak grubunuzun adıyla ve aro-cluster değerini de kümenizin adıyla değiştirdiğinden emin olun.

Not

AAD OAuth geri arama URL'sindeki bölüm, daha sonra ayarlayacağımız OAuth kimlik sağlayıcısı adıyla eşleşmelidir.

domain=$(az aro show -g aro-rg -n aro-cluster --query clusterProfile.domain -o tsv)
location=$(az aro show -g aro-rg -n aro-cluster --query location -o tsv)
echo "OAuth callback URL: https://oauth-openshift.apps.$domain.$location.aroapp.io/oauth2callback/AAD"

Kimlik doğrulaması için Microsoft Entra uygulaması oluşturma

Azure portalında oturum açın ve Uygulama kayıtları dikey penceresine gidin ve yeni bir uygulama oluşturmak için Yeni kayıt'a tıklayın.

Uygulama için aro-azuread-auth gibi bir ad sağlayın ve daha önce aldığınız OAuth geri çağırma URL'sinin değerini kullanarak Yeniden Yönlendirme URI'sini doldurun.

New application registration

Sertifikalar ve gizli diziler'e gidin ve Yeni istemci gizli dizisi'ne tıklayın ve ayrıntıları doldurun. Daha sonraki bir aşamada kullanacağınız için anahtar değerini not edin. Yeniden alamazsınız.

Create a secret

Genel Bakış'agidin ve Uygulama (istemci) Kimliği ile Dizin (kiracı) Kimliğini not edin. Daha sonraki bir aşamada bunlara ihtiyacınız olacak.

Retrieve Application (client) and Directory (tenant) IDs

İsteğe bağlı beyanları yapılandırma

Uygulama geliştiricileri, uygulamalarına gönderilen belirteçlerde hangi talepleri istediklerini belirtmek için Microsoft Entra uygulamalarında isteğe bağlı beyanları kullanabilir.

İsteğe bağlı beyanları kullanarak:

  • Uygulamanız için belirteçlere eklenecek ek beyanları seçebilirsiniz.
  • Microsoft Entra ID'nin belirteçlerde döndürdüğü belirli taleplerin davranışını değiştirin.
  • Uygulamanız için özel beyanlar ekleyebilir ve bunlara erişebilirsiniz.

OpenShift'i talebi kullanacak email şekilde yapılandıracak ve Microsoft Entra Id tarafından döndürülen kimlik belirtecinin bir parçası olarak ekleyerek upn Tercih Edilen Kullanıcı Adı'nı ayarlamak için geri upn döneceğiz.

Belirteç yapılandırması'na gidin ve İsteğe bağlı talep ekle'ye tıklayın. Kimlik'i seçip e-postayı ve upn taleplerini denetleyin.

Screenshot that shows the email and upn claims that were added.

Kümeye kullanıcı ve grup atama (isteğe bağlı)

Microsoft Entra kiracısına kayıtlı uygulamalar, kiracının başarıyla kimlik doğrulaması yapan tüm kullanıcıları tarafından varsayılan olarak kullanılabilir. Microsoft Entra Id, kiracı yöneticilerinin ve geliştiricilerin bir uygulamayı kiracıdaki belirli bir kullanıcı veya güvenlik grubu kümesiyle kısıtlamasına olanak tanır.

Uygulamaya kullanıcı ve grup atamak için Microsoft Entra belgelerinde yer alan yönergeleri izleyin.

OpenShift OpenID kimlik doğrulamayı yapılandırma

kubeadmin Kimlik bilgilerini alın. Kullanıcının parolasını bulmak için kubeadmin aşağıdaki komutu çalıştırın.

az aro list-credentials \
  --name aro-cluster \
  --resource-group aro-rg

Aşağıdaki örnek çıktıda parolanın içinde kubeadminPasswordolacağı gösterilmektedir.

{
  "kubeadminPassword": "<generated password>",
  "kubeadminUsername": "kubeadmin"
}

Aşağıdaki komutu çalıştırarak küme konsolu URL'sini bulabilirsiniz. https://console-openshift-console.apps.<random>.<region>.aroapp.io/

 az aro show \
    --name aro-cluster \
    --resource-group aro-rg \
    --query "consoleProfile.url" -o tsv

Konsol URL'sini bir tarayıcıda başlatın ve kimlik bilgilerini kullanarak kubeadmin oturum açın.

Yönetici istrasyon'a gidin, Küme Ayarlar'ne tıklayın, ardından Yapılandırma sekmesini seçin. OAuth'u seçmek için ekranı kaydırın.

Kimlik Sağlayıcıları'nın altında Ekle'yi seçmek için aşağı kaydırın ve OpenID Bağlan'ı seçin. Select OpenID Connect from the Identity Providers dropdown

Adı Microsoft Entra Kimliği, İstemci Kimliği'ni Uygulama Kimliği ve İstemci Gizli Anahtarı olarak girin. Veren URL'si şu şekilde biçimlendirilir: https://login.microsoftonline.com/xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx/v2.0. Yer tutucuyu daha önce aldığınız Kiracı Kimliği ile değiştirin.

Fill in OAuth details

Aşağı kaydırarak Talepler bölümüne gelin ve Tercih Edilen Kullanıcı Adını upn talebindeki değeri kullanacak şekilde güncelleştirin.

Fill in claims details

Microsoft Entra Id aracılığıyla oturum açmayı doğrulama

OpenShift Web Konsolu'nun oturumunu kapatıp yeniden oturum açmayı denerseniz, Microsoft Entra Id ile oturum açmak için yeni bir seçenek sunulur. Birkaç dakika beklemeniz gerekebilir.

Login screen with Microsoft Entra option

Not

"AADSTS50011: İstekte belirtilen yeniden yönlendirme URI'leri https://oauth-openshift.apps.xxxxxxxxxx.xxxxxxx.aroapp.io/oauth2callback/xxxx yapılandırılan yeniden yönlendirme URI'leri ile eşleşmiyor" gibi bir hatayla karşılaşırsanız, sorunu çözmek için Yeniden Yönlendirme URI'si doğru ayarlanmadığında Azure AD (OIDC) oturum açma başarısız oldu sorun giderme kılavuzunu izleyebilirsiniz.